Care este politica de securitate.
A. Lukatckiy
Deoarece este imposibil să se facă o reparație de calitate într-un apartament fără un proiect de design bun, și este imposibil să se ocupe de securitatea informațiilor (IS) al companiei, fără politici adecvate și conceptul de securitate a informațiilor. Acesta este documentul în care sunt concentrate ideile de bază pentru protecția tuturor proceselor de afaceri. Fără ea, orice expert de securitate a resurselor informaționale ar simți ca fără mâini. Bun început, „conceptul de securitate a informațiilor“ și „politica de securitate a informațiilor“ - sunt termeni complet diferite, dar în acest articol, pentru a facilita narativ, cei doi termeni sunt utilizați interschimbabil.
Deci, dacă aveți nevoie de o politică de securitate?
Din păcate, în practică, de multe ori se confruntă cu această situație. Vino la clienții care au nevoie pentru a instala și configura un sistem de prevenire a intruziunilor firewall sau, iar întrebarea, ca și cum ar avea o politică de securitate ar trebui să arate și să răspundă nedumerit, „De ce? Am nevoie doar de HTTP deschis și SMTP ». Deschideți ... Un apel minut - „Am ICQ nu funcționează.“ Apoi, din nou: „Ea nu funcționează accesul la magazin on-line“ (de obicei, HTTPS). Aceasta este urmată de o rafală de apeluri telefonice și scrisori: .... SSH, Telnet, IPSec, POP3, SQL * Net, SIP, H.323, etc, etc Administratorul clientului a fost surprins să descopere că internetul a avut pe picior de plecare două sau trei zeci de protocoale diferite, așa cum nu a avut nici o idee. Dar aceasta este doar o parte a problemei lipsei de informații cu privire la starea de securitate a informațiilor, care ar rezolva politica de securitate ar putea.
situație paradoxală. Compania are un munte de documente cu privire la diferite aspecte ale activităților sale, dar nu este nimic care ar ajuta să răspundă la întrebarea: „Ce fel de informații ne proteja? De ce și cum? „Și toate pentru că pentru majoritatea liderilor de informații care nu este un activ care necesită aceeași atenție ca și cutii de depozit lingouri de aur, obligațiuni publice sau titluri de monopoluri interne.
Diferențe abordări pentru politica de securitate în România și în Occident
Nici unul dintre materialele de securitate a informațiilor de Vest „informații concept de securitate“, nu veți găsi termenul. În ceea ce privește companiile individuale, pur și simplu nu există. În cazul în care acest concept este găsit, numai în raport cu statele întregi. În România, nu este așa. Orice companie sau agenție guvernamentală care se respectă cheltuiește resurse considerabile pentru dezvoltarea acestui document, care, potrivit interpretării convenționale, stabilește un sistem de vizualizări, scopurile și obiectivele, principiile de bază și modalități de a atinge nivelul cerut de securitate a informațiilor. În Occident, nimeni nu susține că este nevoie de un astfel de sistem unificat, dar este numit „politica de securitate» (politica de securitate).
Ce bun este această abordare? Cea mai mică schimbare în oricare dintre politicile nu necesită o revizuire a întregului. Modificările se aplică numai unui singur document și nu afectează alte aspecte ale securității resurselor informaționale. Conform practicii românești are nevoie de revizuire de document imens ca un întreg. Având în vedere faptul că aceasta este, de obicei, susține conducerea societății sau agenția, orice ajustări de multe ori duce la semnături de așteptare lungi de necunoscute, dar comenzi respect multipage „forței de muncă.“
Ce ar trebui să includă o politică de securitate?
Conceptul ar trebui să includă un sistem de opinii la nivel înalt. Scopuri și obiective IB, instrucțiuni, reguli, descrieri de produse și nume responsabile m. P. Politica descrie abordarea generală a IB, fără detalii specifice. Ca atare, se pare o politică de securitate tipic de la Cisco? Ea a descris secțiunile întreaga familie (numărul lor depășește rareori „magic“ șapte):
Această structură permite concis (2-3 pagini) pentru a descrie toate aspectele majore legate de subiectul politicii de securitate. Trebuie amintit întotdeauna că conceptul - acest lucru nu este descrierea metodei de punere în aplicare. Nu poate fi „atașat“ la anumite tehnice soluții, produse și producători. În caz contrar, schimbări în situația politică în cadrul companiei, retragerea de pe piață a unora dintre furnizori, și așa mai departe. N. Se duce la necesitatea de a schimba conceptul de securitate a informațiilor, dar acest lucru nu ar trebui să se întâmple.
Desigur, politica de securitate - nu un document static, sau, mai degrabă, un set de documente. Acestea ar trebui să fie, de asemenea, revizuite. Dar nu ca urmare a schimbării platformei software-ului (regulile de selecție a parolei și Unix, ca și pentru Windows, și Cisco IOS sunt identice) sau numele responsabil pentru siguranța unui anumit segment al sistemului de informații de întreprindere, și sub influența unor factori, cum ar fi modificări ale informațiilor tehnologia de procesare, apariția unor noi procesele de afaceri, și așa mai departe. n.
Dacă da, în tradiția românească, cel mai important lucru pentru a face fără a documentului nu, atunci acesta trebuie să fie scurt și să fie un anumit vârf al documentelor care are origini care specifică diverse aspecte ale securității informațiilor. Chiar și 30-40 de pagini (și anume, această sumă este găsit în mai „avansate“ în securitatea autorităților române) - este deja prea mult; mai bine pentru a limita 12-15.
Cine ar trebui să scrie o politică de securitate?
Să ne amintim cum repararea apartamentului. După ce a studiat situația actuală (ceea ce am vândut și cum am ajuns la o astfel de viață), începe procesul creativ de elaborare a unui proiect de design o noua imagine a casei. Desigur, termenul „proiect de design“ este atât de încăpător și versatil, eu nu presupun pentru a da interpretarea exactă. Pentru unii, este destul de schite pe un șervețel într-un magazin de cafea, și cineva Dă notebook-uri 50-70 pagini, în detaliu și culoare, pentru a transmite caracterul unui apartament nou. De asemenea, în condiții de siguranță. Cineva suficient de 10-12 pagini, Specificații de cineva și, și 100 de pagini de detalii lipsesc.
Ceea ce nu trebuie să uităm să includă în politica de securitate?
Ce-i mai nu am mai văzut în concepte interne de securitate a informațiilor?
Problemele legate de securitate:
* Dispozitive portabile mobile - USB-drive, „flash drive-uri», MP3-playere iPod # și, camere digitale. Primele două tipuri de dispozitive miniaturale, ceea ce înseamnă că pot transporta perfect în birou și să facă toate informațiile confidențiale. Alții acestor dispozitive ca mass-media de stocare nu este percepută, dar dacă este necesar, face perfect cu acest rol;
* Utilizatorii mobili. Numărul acestora este în continuă creștere. Deși are acces deplin la resursele companiei de oriunde în lume, ele sunt în afara zonei de securitate perimetrului de securitate a companiei și de atac le este mult mai ușor decât biroul central al companiei;
* Utilizatori Extranet. Conceptul de „extranet“, sau o rețea deschisă pentru parteneri, furnizori, clienți și alte tipuri de utilizatori externi pot nu numai îmbunătăți performanța afacerii (prin reducerea stocurilor, facilita și accelera logistica, reduce costul produsului, și așa mai departe. D.), dar, de asemenea, deschide o potențială încălcare a securității;
* Utilizatorii wireless. Tehnologia Wi-Fi nu numai că mărește productivitatea angajaților, dar, de asemenea, riscul de penetrare necontrolată în interiorul rețelei protejate. Este necesar să existe o politică privind utilizarea punctelor de acces fără fir în compania dumneavoastră. Chiar dacă nu au voie să folosească această nouă și eficientă tehnologie IT, utilizatorii pot lipi de opinie contrară. Conform statisticilor, aproape 99% din toate instalațiile punctelor de acces wireless neautorizate a efectua personal „nerăbdător“, dornici de a mobilității și pentru a îmbunătăți eficiența. Prin urmare, ar trebui să monitorizeze în mod regulat undele radio în căutare de incluziuni wireless neautorizate;
* Acces Oaspete. Pentru a crește loialitatea clienților, le oferă un acces liber de oaspeți la Internet de la birou? V-ați gândit la siguranța unei astfel de retragere? Nu le primesc în același timp, accesul la informații neautorizate pentru ei? indiferent dacă acestea sunt protejate atunci când accesează Internetul? La urma urmei, în cazul în care suferă de un focar la momentul de a fi în biroul tău, te vei da vina numai. În prezența politicii de securitate a intrării oaspete al astfel de probleme nu vor apărea;
* Laboratoare și standuri. Am confruntat în mod repetat cu o situație în care un stand pe care „run-in“ noi soluții înainte de implementarea lor într-o operațiune „militară“, a fost conectat la rețeaua de producție. O mică problemă în laborator, merge dincolo lui „lume mică“, a devenit o mare durere de cap pentru toți specialiștii IT. Pentru a preveni acest lucru, puteți, „îngrădite“ pat test de la toate celelalte sisteme și interzicerea oricărei entități în politica de securitate.
Foarte rar, dezvoltatorii conceptului de „aminti“ leptopov prezența în companie, și în zadar. Leptopy (în special cele care aparțin autorităților) conțin depozite uriașe de cele mai importante informații cu privire la toate aspectele legate de capacitatea companiei de a trăi - know-how, dezvoltare avansată, politicile de stabilire a prețurilor, contracte confidențiale, și așa mai departe ..
Politica de securitate ar trebui să se reflecte, de asemenea, întrebări:
* Cooperarea cu mass-media în cazul unei întreruperi de succes sau scoase din epidemiei;
* Investigarea incidentelor;
* Instruirea tuturor angajaților (de la managementul superior la nivelurile inferioare);
* Interacțiunea cu alte domenii de securitate (gestionare secrete înregistrărilor, securitatea fizică, etc ...);
* Cooperarea cu autoritățile de aplicare a legii sau furnizorul de servicii, și așa mai departe. N.
Într-un articol, este foarte dificil să vorbim despre toate capcanele de scriere a politicilor de securitate. Principalul lucru - amintiți-vă că, fără acest set de documente de securitate a informațiilor, orice activitate ar fi ineficientă și este similară cu găuri patching sunt în mod constant în curs de dezvoltare. Abordarea sisteme nu va fi un prizonier de circumstanțe, și să ia întreaga situație sub control, care, la rândul său, este cheia pentru protecția cu succes a resurselor informaționale.